¿Qué es la inteligencia de amenazas?
Los atacantes se adaptan constantemente para penetrar las defensas de seguridad. Las organizaciones tendrán que adelantarse a los atacantes al aumentar continuamente su propio conocimiento de seguridad y actualizar sus sistemas de seguridad para defenderse ante los nuevos tipos de ataques cibernéticos. ¡Es tan difícil como parece! Aquí es donde entra en acción la inteligencia de amenazas. Un mecanismo sólido de inteligencia de amenazas da a los administradores de TI detalles básicos sobre el comportamiento malicioso o sospechoso con base en la evidencia pasada, y esto les permite tomar decisiones informadas y adoptar medidas decisivas para evitar ataques graves.
¿Cómo funciona la inteligencia de amenazas?
Un mecanismo de inteligencia de amenazas aprovecha las fuentes contra amenazas y correlaciona los datos recibidos de estas para detectar cualquier comportamiento sospechoso en la red de una organización. Los mecanismos de inteligencia de amenazas avanzadas pueden desencadenar medidas una vez se detecta una amenaza como una respuesta para frenar un posible ataque cibernético. Por ejemplo, ManageEngine Log360 puede detectar problemas de la siguiente manera: Correlacionar una lista negra global de los protocolos de internet (IO) con los IP que interactúan con su red y generar alertas cuando hay una coincidencia. Usar STIX, un lenguaje estructurado para soluciones de inteligencia de amenazas cibernéticas. Usar TAXII, un mecanismo de transporte para compartir inteligencia de amenazas cibernéticas. Usar AlienVault OTX, la red de intercambio y análisis de inteligencia de amenazas cibernéticas de código abierto más reconocida en el mundo. Estas fuentes contra amenazas dan un contexto adicional a los logs generados por una red y da a los administradores de TI una idea clara de la mejor forma de prevenir un ataque. Este mecanismo trata con los atacantes antes de que empiecen a generar caos. Pero ¿qué puede hacer una organización si hay un infiltrado malicioso o un atacante que ya ingresó a la red? Aquí es donde el UEBA entra en juego.
¿Qué es el UEBA?
Una de las mejores formas de defenderse ante ataques externos e internos es usar el UEBA (User and entity behavior analytics – análisis de comportamiento de usuarios y entidades). El UEBA aprovecha la potencia del machine learning para entender el comportamiento normal de los usuarios de su organización y luego alerta a los administradores de TI si hay alguna desviación en dicho comportamiento típico. Esto muestra que la cuenta del usuario está comprometida o que el usuario se ha vuelto malicioso. Sin importar la razón, se puede
mitigar la amenaza antes de que cause daños.
¿Cómo funciona el UEBA?
Log360 UEBA analiza logs de distintas fuentes, como firewalls, routers, estaciones de trabajo, bases de datos y servidores de archivos. Una vez se recopilan los datos, el algoritmo de machine learning establece una referencia de lo que se considera un “comportamiento normal” para cada usuario. Esto podría ser patrones como la hora de registro y de salida, horas laborales habituales y acceso a archivos. Cuando la cuenta de un usuario se desvía de estos patrones de comportamiento usual, el sistema puede alertar a los administradores de TI para tomar las medidas necesarias.
Los resultados del análisis pueden ser indicadores de un comportamiento inusual, tales como:
Signos de amenazas internas:
– Accesos al sistema nuevos o inusuales.
– Horas de acceso inusuales.
– Accesos o modificaciones de archivos inusuales.
– Fallas de autenticación excesivas.
Signos de compromisos de cuentas:
– Ejecución de software inusual para un usuario.
– Varias instancias de software instaladas en un host.
– Varios intentos fallidos de logon en un host.
Signos de robo de datos:
– Descargas de archivos inusuales.
– Varios intentos de crear USB o discos descargables no codificados y no autorizados.
– Comandos inusuales ejecutados por usuarios.
– Inicios de sesión anormales en host.
Una solución que de sólidas funciones de inteligencia de amenazas y UEBA, que suministre funcionalidades integrales de SIEM que monitoreen los cambios en la red en tiempo real y que cumpla con las regulaciones asegurará que su organización está protegida ante amenazas. Aquí es donde ManageEngine Log360 entra en juego. Cuando se trata de la inteligencia de amenazas, Log360 recopila información usando STIX, TAXII y AlienVault OTX, que son algunas de las fuentes más confiables de información. Log360 también cubre la respuesta ante incidentes. Con la solución, cuando se detecte una actividad sospechosa, los administradores de TI pueden configurar alertas en tiempo real y establecer scripts que se puedan desencadenar para frenar un ataque antes de que pueda empezar a infligir daño.
El UEBA, dentro de Log360, permite a los administradores de TI: